ULKOISTEN KYBERTURVALLISUUDEN RISKIEN ARVIOINTI FINANSSIALAN ORGANISAATIOSSA
JYVÄSKYLÄN YLIOPISTO
INFORMAATIOTEKNOLOGIAN TIEDEKUNTA
2019
Takala, Niko
Ulkoisten kyberturvallisuuden riskien arviointi finanssialan organisaatiossa Jyväskylä: Jyväskylän yliopisto, 2019, 82+1 s.
Kyberturvallisuus, pro gradu -tutkielma Ohjaaja(t): Niemimaa, Marko
Riskienhallintaa ja riskien arviointia voidaan tarkastella useasta eri näkökulmasta ja sitä ohjaavat useat erilaiset tekijät. Ohjaaviksi tekijöiksi voidaan tunnistaa organisaation strategia, organisaatiokulttuuri, tietoturvapolitiikka sekä erilaiset riskienhallinnan mallit, kuten PMBOK, ISO31000 ja IRM. Näiden lisäksi tieto- ja kyberturvallisuuden prosesseja pyritään helpottamaan erilaisilla työkaluilla, kuten ISO27001, VAHTI ja Katakri.
Riskienhallinnan mallit pitävät sisällään riskien arvioinnin, mutta käsittelevät arviointiprosessia hyvin pintapuolisesti. Riskien arvioinnin perustuminen arvioijan omien kokemusten ja ajatusten päälle pidetään jossain määrin ongelmallisena. Tutkimus toteutettiin toimeksiantona ja sen tarkoitus oli tarjota tukea riskien arvioinnin prosessin kehittämiseen. Tutkimuksessa pyrittiin paikantamaan toimeksiantajan riskien arviointiprosessin ongelmakohdat ja rakentamaan riskien arvioinnin malli niin, että sen voi yleistää käytettäväksi myös muihin organisaatioihin. Tutkimuksen tulokset osoittavat, että myös todennäköisyyksien ennustamiseen on mahdollista rakentaa sen uskottavuutta tukeva malli, joka ajan kuluessa tarjoaa vankan pohjan riskien arviointiprosessiin. Tutkimus toteutettiin kvalitatiivisena tapaustutkimuksena ja pääasiallinen empiirisen datan keräämiseen käytetty metodi oli kvalitatiivinen semi-strukturoitu haastattelu. Riskien arvioinnin mallista muodostui iteratiivinen malli, joka nojaa olemassa olevaan riskienhallinnan malliin. Mallin tavoitteena oli syventää riskienhallinnan henkilökunnan tietoa organisaation riskeihin liittyen ja sitä kautta intuition vaikutuksen vähentäminen riskien arvioinnissa.
Asiasanat: kyberturvallisuus, riskienhallinta, arviointi, finanssiala, ulkoiset ris- kit
Takala, Niko
External Cyber Security Risk Assessment in a Finance Sector Organization Jyväskylä: University of Jyväskylä, 2019, 82+1 pp.
Cyber Security, Master’s Thesis Supervisor(s): Niemimaa, Marko
Risk management and risk assessment can be viewed from several different angles and they have multiple guiding factors. The organization’s strategy, culture and information security policy, as well as risk management models like PMBOK, ISO31000 and IRM can all be seen as guiding factors. In addition to these, there are multiple toolboxes designed to make it easier to implement these models in everyday actions. Tools like these include ISO27001, VAHTI and Katakri. The models of risk management include risk assessment, but they handle it very superficially. Basing risk assessment on the intuition of the assessor can be seen as a problem. The study was conducted as an assignment and the aim of the study was to provide support for developing the risk assessment process inside the principal organization. The study sought to pinpoint the problems of the risk assessment process in the organization and to build a model that can be generalized outside the organization as well. The results of the study show that it is possible to build a model to support the estimation of the risk probabilities. In time, by using the model the organization is able to build a strong database considering its risks and to use the database as a justification for assigned probabilities. The study was conducted as a qualitative case study and the main data collection method was a qualitative semi-structured interview. The model for risk assessment formed to be an iterative model that bases itself on the existing model. The aim of the model was to provide a better foundation for the risk management professionals to do their work and estimate the risks’ probabilities. Through this foundation it is possible to weaken the effect of intuition in the process or at least provide a good justification for the level of probability of the risks.
Keywords: cyber security, risk management, assessment, financial field, risks
KUVIO 1 Riskikategoriat (Ilmonen ym. 2010) ... 14
KUVIO 2 Tietoturvallisuuden ja kyberturvallisuuden suhde (Von Solms & Van Niekerk, 2013 mukaillen) ... 24
KUVIO 3 Riskimatriisi (PMBOK, 2013 mukaillen) ... 30
KUVIO 4 Todennäköisyysjakauma (PMBOK, 2013 mukaillen) ... 31
KUVIO 5 Riskienhallinnan prosessi 1 (ISO, 2018 mukaillen) ... 33
KUVIO 6 Riskienhallinnan prosessi 2 (IRM, 2002 mukaillen) ... 36
KUVIO 7 PDCA-malli (ISO 27001, 2005 mukaillen) ... 48
KUVIO 8 Rakennettu riskien estimoinnin malli ... 64
KUVIO 9 Mallin suhteutuminen koko riskienhallinnan malliin ... 65
TAULUKOT
TAULUKKO 1 Riskien kuvaamisen esimerkki (IRM, 2002 mukaillen) ... 38TAULUKKO 2 Seuraamusten taso (IRM, 2002 mukaillen) ... 39
TAULUKKO 3 Todennäköisyyksien taso (IRM, 2002 mukaillen) ... 39
TAULUKKO 4 Kyberrikollisuuden toimijat (Lindström, 2012 mukaillen) ... 50
TAULUKKO 5 Tapaustutkimuksen teoria (Eisenhardt, 1989 mukaillen) ... 54
TAULUKKO 6 Haastatellut henkilöt ja heidän roolinsa ... 59
TAULUKKO 7 Esimerkki: miten nykyaikainen tieto riskin todennäköisyyteen vaikuttaneista asioista säilötään ehdotuksen mukaisesti ... 66
TAULUKKO 8 Esimerkki ajan kuluessa syntyneestä riskien arvioinnin tietokokoelmasta ... 68
1 JOHDANTO ... 7
1.1 Tutkimuksen tausta ja näkökulma ... 8
1.2 Tutkimuksen tavoitteet ja tutkimusongelma ... 8
1.3 Tiedonkeruu ja tutkielman rakenne ... 9
2 RISKIENHALLINNAN PERUSTUKSET ... 11
2.1 Riski ja sen hallinta ... 11
2.2 Organisaation strategia ... 18
2.3 Organisaatiokulttuuri... 19
2.4 Tietoturvapolitiikka ... 21
2.5 Kyberturvallisuutta vai tietoturvallisuutta ... 23
3 RISKIENHALLINNAN MALLIT ... 27
3.1 Project Management Body of Knowledge ... 27
3.2 International Organization for Standardization ... 32
3.3 The Federation of European Risk Management Association ja The Institute of Risk Management ... 35
3.4 Yhteenveto ... 40
4 TIETO- JA KYBERTURVALLISUUDEN TYÖKALUJA ... 42
4.1 VAHTI-ohje ... 42
4.2 Kansallinen turvallisuusauditointikriteeristö... 45
4.3 ISO 27001 -standardi ... 47
4.4 Toimintaympäristö ja kyberrikollisuus ... 48
5 TUTKIMUSMENETELMÄT ... 52
5.1 Tutkimusprosessi ... 52
5.2 Kvalitatiivinen tutkimusmenetelmä ... 54
5.3 Tapaustutkimus ... 55
5.4 Aineiston keruu ja analysointi ... 56
5.5 Tutkimuksen tapaus: Finanssiyritys Oy ... 57
6 TUTKIMUSTULOKSET ... 60
6.1 Ulkoisten kyberturvallisuuden riskien arviointimalli... 62
7 TUTKIMUKSEN POHDINTA JA YHTEENVETO... 71
7.1 Yhteenveto ... 71
7.2 Pohdinta ... 72
7.3 Tutkimuksen luotettavuus ja jatkotutkimus ... 75
8 LÄHTEET ... 76
1 Johdanto
Informaatioteknologiaan on panostettu eri alojen organisaatioissa jo pitkään. IT on integroitu organisaatioiden rakenteisiin sekä osaksi muita toimintoja (Fair- bank, Labianca, Steensma & Metters, 2006). Tästä johtuen myös riskienhallinta ja riskien arviointi varsinkin IT-järjestelmissä ovat jokapäiväistyneet organisaa- tioissa. Riskienhallintaa ohjaa strategia (IRM, 2002), joka määrittää riskienhal- linnan perusteet.
IT-järjestelmien lisääntyessä riskienhallinnasta sekä riskien arvioinnista on tullut merkittävä osa organisaatioiden kilpailukykyä. Teknologioiden ja mene- telmien nopea ja jatkuva kehittyminen tuovat tullessaan epävarmuutta (Kotler
& Keller, 2006). Riskienhallinta kokonaisuutena on nykypäivänä merkittäväm- mässä asemassa kuin koskaan ennen. Varsinkin kyberturvallisuuden osa- alueella haitalliset toimijat ovat lisääntyneet teknologioiden kehittymisen myötä ja myös valtiolliset toimijat ovat tulleet mukaan kuvioihin. (Lindström, 2012;
Kotler & Keller, 2006)
Riskien arviointi lukeutuu osaksi riskienhallintaa (PMBOK, 2013; ISO, 2018; IRM, 2002). Riskienhallinnalle on luotu useampia standardeja, kuten esi- merkiksi, PMBOK (2013), ISO 31000 (2018) ja IRM (2002). Tämän tutkimuksen tarkoitus on keskittyä riskienhallinnassa kyberturvallisuuden osa-alueeseen ja tarkemmin ulkoisten riskien arviointiin. Vaikka riskien arvioinnille ja riskien- hallinnalle on mahdollista löytää useita erilaisia malleja ja tutkimuksia, mallin- tavat nämä tutkimukset enimmäkseen riskienhallintaa isona kokonaisuutena, eivätkä välttämättä keskity niin tarkasti nimenomaan riskien arviointiin, kuten luvussa 3 tullaan näkemään.
Toimeksiantaja aloittaa kyberturvallisuuden riskienhallinnan kehittämis- työn vuonna 2019. Tätä kehittämistyötä varten ulkoisten kyberturvallisuuden uhkien ja niistä johtuvien riskien arvioinnin tueksi halutaan luoda malli, joka helpottaa kyseistä työtä ja tuo siihen enemmän tieteellistä pohjaa. Kuten jatkos- sa käy ilmi, perustuu riskienhallinta kuitenkin vahvasti myös intuitiolle. Tätä intuition määrää arviointiprosessissa halutaan pienentää.
1.1 Tutkimuksen tausta ja näkökulma
Tämä tutkimus toteutettiin laadullisena tapaustutkimuksena finanssialan orga- nisaatiossa. Tarve tutkimukselle sai alkunsa loppuvuodesta 2018, kun toimeksi- antaja näki tarpeelliseksi aloittaa kyberturvallisuuden riskienhallinnan ja erityi- sesti ulkoisten uhkien sekä näistä johtuvien riskien arvioinnin kehittämistyön.
Työn pohjalle päätettiin toteuttaa pro gradu -tutkielma kyberturvallisuuden ulkoisten riskien arvioinnista finanssialan organisaatiossa. Tutkija itse toimii toimeksiantajalla tukitehtävissä.
Toimeksiantaja koki, että riskien todennäköisyyksien hahmottaminen on hankalaa. Vaikka riskienhallinnan prosessi itsessään on selkeä ja noudattaa in- formaatioturvallisuuden riskienhallinnan prosessimallia (PMBOK, 2013; ISO, 2018; IRM, 2002), joutuu todennäköisyyksiä ja riskejä käsittelemään liiaksi omien kokemusten ja ajatusten pohjalta (Baskerville, 2009). Omat kokemukset ja intuitio ovat isossa osassa riskienhallintaa, mutta toimeksiantaja on sitä miel- tä, että mitä tarkemmin arviot nojaavat johonkin tiettyyn malliin tai tietoon, sitä tarkemmin riskejä pystytään arvioimaan. Kun arviointi tehdään huolella, välty- tään suuremmilta virheiltä prosessin muissa vaiheissa sekä kerätään tietoa tule- vaisuuden arvioinnin tueksi. Tutkimustuloksia voi hyödyntää kyberturvalli- suuden riskienhallinnassa myös finanssialan ulkopuolella. Tarkoituksena on kuitenkin luoda malli, joka helpottaa riskien arviointia juuri tutkimuskohteen kaltaisessa organisaatiossa.
Aikaisempaa tutkimusta juuri tästä aiheesta on loppupeleissä hyvin vähän ja juuri spesifin lähdemateriaalin löytäminen oli jokseenkin hankalaa. Toisaalta riskienhallintaa on käsitelty laajasti useassa eri alan julkaisussa, joka itsessään taas helpotti tutkimuksen aloittamista. Mitä syvemmälle tutkimukseen uppou- duttiin, sitä vähemmän materiaalia kuitenkin oli tarjolla. Varsinkin, kun infor- maatioturvallisuuden käsitteeseen lisätään kyberturvallisuus, joka käsitteenä on vasta viimeisen 10 vuoden aikana yleistynyt, on tutkimusten määrä varsin vä- häinen.
Riskiksi gradun viivästymiselle oli tunnistettavissa heti alkuun organisaa- tion henkilöstön kiireet, jotka juontavat juurensa useampaan yhtäaikaiseen la- kiuudistukseen. Toisaalta uhkana tutkimukselle voitiin nähdä myös tutkijan kyky hahmottaa riskienhallinnan ja riskien arvioinnin periaatteet sekä haastat- telurungon luominen tutkimuksen tueksi ja haastattelujen analysoinnin onnis- tumisen tutkimusongelman kannalta.
1.2 Tutkimuksen tavoitteet ja tutkimusongelma
Tämän tutkimuksen tavoitteena oli selvittää, miten kyberturvallisuuden ulkoi- sia riskejä arvioidaan riskienhallinnan prosessissa ja miten tätä prosessia voi- daan parantaa. Tutkimusongelma muotoiltiin tutkimuskysymykseksi seuraa- valla tavalla:
Millainen riskien arvioinnin malli tukee kyberturvallisuuden ulkoisten riskien arviointia?
Tutkimusongelman selvittämiseksi laadittiin yllä oleva tutkimuskysymys sekä apukysymyksiä, joihin tämä tutkimus pyrki vastaamaan. Apukysymykset muo- toiltiin tutkimusongelman pohjalta seuraavasti:
Millaisia nykymalleja riskien arviointiin on olemassa?
Miten kyberturvallisuuden ulkoisia riskejä tulisi arvioida?
Tutkimuksen empiirinen osuus toteutettiin semi-strukturoituna kvalitatiivisena haastattelututkimuksena. Tutkittavaksi organisaatioksi valikoitui toimeksianta- ja. Haastattelut järjestettiin alkuvuodesta 2019 ja haastateltaviksi valittiin orga- nisaation riskienhallinnasta vastaavat tahot.
1.3 Tiedonkeruu ja tutkielman rakenne
Kirjallisuuskatsauksen materiaalia etsittiin verkosta löytyvistä tietokannoista sekä hakukoneista. Materiaalia etsittiin mm. Google Scholarista, JYX Digital Repositorysta, JYKDOKista, IEEE Xplore Digital Librarysta, Researchgatesta sekä muista vastaavista julkaisualustoista, joita tuli vastaan matkan varrella.
Hakusanoina käytettiin riskienhallintaan liittyviä termejä ja tutkielman avain- sanoja eri muodoissa sekä englanniksi että suomeksi. Hakutuloksia oli tuhansia ja niitä rajattiin niin, että ne vastasivat tutkimuksen tarkoitusta mahdollisim- man tarkasti. Apuna rajaamisessa käytettiin myös tarkentavia hakusanoja, jotka liittyivät sillä hetkellä käsittelyssä olleeseen lukuun.
Hakutuloksista löytyneistä materiaaleista tehtiin nopea arvio abstraktin perusteella siitä, ovatko ne soveltuvia tukemaan tätä tutkimusta. Lähteiden va- lintaa tehdessä keskityttiin myös siihen, millaisia lähteitä ne olivat käyttäneet ja kuljettiin lähdepolkua syvemmälle, mahdollisimman lähelle alkuperäistä teosta.
Alun perin lähteenä käytetyn materiaalin lähdeluettelosta voitiin paikantaa myös lisää tutkimusta tukevaa materiaalia.
Internetissä sijaitsevien hakukoneiden ja tietokantojen lisäksi lähteitä haet- tiin myös Jyväskylän yliopiston sekä Jyväskylän kaupunginkirjaston valikoi- mista niin internetissä e-kirjoina kuin paikan päälläkin fyysisinä painoksina.
Apuna tiedonhaussa käytettiin myös asiantuntijoita, jotka osasivat ohjata oikeaan suuntaan tutkimusmateriaalia etsimään. Esimerkiksi Suomen Pankin ja VTT:n, kuten muidenkin julkisten elinten, materiaaleja etsittiin heidän omista palveluistaan, kuten nettisivuilta ja julkaisuista. Osittain tietoa saatiin myös toimeksiantajalta sekä toimeksiantajan omasta kirjakokoelmasta. Toimeksianta- ja on pyritty tutkimuksessa anonymisoimaan mahdollisimman hyvin. Materiaa-
linkeruu kirjallisuuskatsausta varten suoritettiin pääasiassa 2018 loppuvuodes- ta.
Empiirinen aineisto kerättiin kevään 2019 aikana. Empiirisen aineiston ke- räämiseen valittiin semi-strukturoitu haastattelu, joka on omiaan kvalitatiivisen tutkimusmenetelmän empiirisen aineiston keräämiseen. Monesti kvalitatiivisen aineiston ainut keräystapa on juuri haastattelu ja siksi semi-strukturoitu raken- ne sopii tähän loistavasti. Haastattelu seuraa ennalta määrättyä runkoa, jonka tutkija tekee kysymyksillään, mutta se myös lähtee harhailemaan eri teille sitä mukaa, mitä haastattelun aikana keskustellaan ja mitä kysymyksiä tai aiheita keskustelun aikana nousee esiin. Tutkimuksen ollessa kvalitatiivinen, myös ai- neiston analyysi on kvalitatiivinen. (DiCicco-Bloom & Crabtree, 2006)
Pro gradun toinen luku käsittelee riskienhallintaa ja -arviointia yleisellä tasolla. Kolmannessa luvussa paneudutaan tarkemmin ulkoisten riskien arvi- oinnin menetelmiin ja käydään läpi toimeksiantajalla vaikuttavia malleja, kuten ISO31000, IRM, sekä tutkijan itsensä mielestä riskien arviointiin erinomaisesti soveltuvaa PMBOKia. Neljäs luku pyrkii esittelemään tarkemmin finanssialalla olevia kyberuhkia sekä työkaluja, joita toimeksiantaja hyödyntää omassa kyber- turvallisuuden riskienhallinnassaan. Viidennessä luvussa esitellään tutkimus- menetelmät sekä tutkimuksen tapaus. Kuudes luku kattaa tutkimustulokset ja antaa ehdotuksen muokatusta riskien arviointiprosessin mallista. Viimeisessä luvussa pohdinnan ja johtopäätösten kautta vedetään tutkimusta yhteen ja tii- vistetään se, mitä tutkimus on antanut.
2 Riskienhallinnan perustukset
Tässä luvussa määritellään riski, riskienhallinta ja riskienhallintaa ohjaavat teki- jät yleisellä tasolla. Ensimmäisessä alaluvussa luodaan käsitys siitä, miten riski ja riskienhallinta määritellään. Luvuissa 2.2, 2.3 ja 2.4 tutustutaan riskien arvi- ointia ohjaaviin tekijöihin. Tutkimuksessa käsiteltäviä ohjaavia tekijöitä ovat organisaation strategia, organisaatiokulttuuri sekä tietoturvapolitiikka. Luvussa 2.5 tehdään vielä selväksi ero tietoturvallisuuden ja kyberturvallisuuden välillä.
2.1 Riski ja sen hallinta
Riski
Riskin määritteleminen on yhtä hankala prosessi kuin riskienhallinta itsessään ja terminä riski voidaan mieltää useaksi eri asiaksi lukijasta tai kuulijasta riip- puen. Douglas (1990) puhuu siitä, kuinka ajan kuluessa riskin määritelmä on muuttunut ja keskittynyt eri osa-alueisiin kuin nykyään. Nykymaailmassa riskit nähdään laajemmassa skaalassa kuin menneisyydessä, jolloin riskejä katsottiin aivan eri perspektiivistä. 1700-luvulla riski tarkoitti lähinnä sitä, kuinka pelates- sa nopan heitolla on mahdollisuus tuottaa tuskaa ja tätä varten kehitettiin kaava todellisuuslaskelmaa varten. Riski terminä oli neutraali ja se otti huomioon ai- noastaan mahdolliset hyödyt ja menetykset. Nykypäivänä riski mielletään yleiseksi, toimintaan vaikuttavaksi tekijäksi ja se on terminä ajautunut kauem- mas todellisuuslaskelmista sekä heikentänyt laskelmien asemaa riskin määritte- lyssä. Riski terminä onkin jopa korvannut terminologiassa vaaran (engl. danger).
Suuri riski tarkoittaa suurta vaaraa. Tämä johtuu siitä, että riskillä on terminä paljon vahvempi tieteellinen pohja kuin vaaralla. (Douglas, M. 1990; Gerber &
Von Solms, 2005)
Ahteensuu (2014) puhuu riskienhallinnasta filosofisella tasolla ja hänen mukaansa riskit syntyvät, kun tiettyyn tapahtumaan tai asiaintilan esiintymi- seen liitetään negatiivisia arvoja. Riskit ovat arvosidonnaisia omalla tavallaan ja tietty riski voi esiintyä eri organisaatiolle eri mittakaavassa. Päätöksenteko pyri-
tään aina perustamaan mahdollisimman luotettavaan tietoon, jota pyritään tuottamaan riskien arvioinnin prosessissa. Tämä prosessi sisältyy myös riskien- hallintaan. (Ahteensuu, 2014)
Yates & Stone (1992) ovat sitä mieltä, että riskin voi määritellä epävar- muuden, menetyksen ja menetyksen merkittävyyden mukaan. Riskit ovat sub- jektiivisia ja ne saavat merkityksensä vasta, kun riskinottaja päättää joko ottaa riskin tai olla ottamatta sitä. Riski määritellään enemmänkin psykologisena terminä kuin varsinaisena organisaatiota uhkaavana tekijänä. Myös Fischhoff (1992) näkee riskin subjektiivisena käsitteenä. Hänen mukaansa riski määritel- lään seuraamusten perusteella. Riski voi hänen mukaansa olla negatiivinen tai positiivinen ja sama riski voi tapahtua eri tavoilla. Joskus riskejä myös otetaan tietoisesti, kun halutaan välttää toinen, vielä suurempi riski. (Yates & Stone, 1992; Fischhoff, 1992)
ISO (International Organization for Standardization) määrittelee riskin omassa sanastossaan (ISO Guide, 2009) tavoitteeseen kohdistuvaksi epävar- muustekijäksi. Riski on poikkeama odotetusta lopputulemasta ja tämä voi ISO:n mukaan olla negatiivinen tai positiivinen poikkeama. Riski mielletään usein tapahtumaksi ja seuraamukseksi tai näiden yhdistelmäksi (ISO Guide, 2009).
Kuten ISO Guide (2009), myös Baccarini, Salm & Love (2004) määrittelevät riskin sellaiseksi todennäköisyydeksi, että jotain projektiin jollain tavalla nega- tiivisesti vaikuttavaa voi tapahtua. Vaikutus voi ilmetä lopputuloksessa tai itse prosessissa. Riskiä ei kuitenkaan tässä tapauksessa nähdä positiivisena asiana, vaan sitä tarkastellaan ainoastaan negatiivisena tapahtumana. (Baccarini ym., 2004)
Bannermanin (2008) mukaan riski on altistumista tietyille tekijöille, jotka ovat uhkana asetetun tavoitteen saavuttamiselle. Yksinkertaiseksi kaavaksi Bannerman (2008) esittelee seuraavaa: R = P x I, missä R on riski, P on todennä- köisyys ja I on vaikutus, jonka riski toteutuessaan luo. Vaikutus on yleensä mi- tattavissa rahana tai aikana. (Bannerman, 2008)
Riski on terminä löytänyt tiensä myös Oxfordin (2018) tietosanakirjaan, jossa se määritellään sellaisena mahdollisuutena, että jotain ikävää tai epämu- kavaa tapahtuu – esimerkiksi sydän- ja verisuonisairauksien riski. Berg (2013) määrittelee riskin epävarmaksi lopputulemaksi, jolla on haitallisia vaikutuksia, mutta mainitsee myös, että riski voi olla neutraali. Bergin (2013) mukaan riski viittaa epävarmuuteen, joka ympäröi tulevaisuuden tapahtumia ja lopputule- mia. Se ilmaisee todennäköisyyden sekä tapahtuman vaikutuksen organisaation asettamiin tavoitteisiin. (Berg, 2013)
Suomen Pankki (2018) luokittelee informaatioteknologiaan liittyvät riskit operatiivisiksi riskeiksi. Operatiivisella riskillä Suomen Pankin (2018) mukaan tarkoitetaan sellaista riskiä, jossa sisäisistä prosesseista, henkilöstöstä, järjestel- mistä tai ulkoisista tekijöistä aiheutuu tappiota tai ylimääräisiä kustannuksia.
Valtioneuvosto (2015) taas määrittelee riskin suuruuden koostuvaksi kahdesta eri osasta: tapahtuman todennäköisyydestä sekä sen seurausvaikutuksista. Ris- kien arvioinnissa on myös tarkoitus järjestää riskit jonkinlaiseen järjestykseen toisiinsa suhteutettuna. Arvioinnin perusteena käytetään Valtioneuvoston (2015)
mukaan riskilukua, todennäköisyyttä tai seurausvaikutuksia. (Suomen Pankki, 2018; Valtioneuvosto, 2015)
Tietoturvaan sekä tietojärjestelmiin kohdistuvat riskit määritellään omi- naispiirteiden mukaan. Tietojärjestelmäriskit Salmela (2008), kuten muutkin ylempänä, määrittelee epävarmuustekijäksi. Tässä tapauksessa kuitenkin epä- varmuustekijä kohdistuu tietokonepohjaiseen järjestelmään, jonka tarkoitukse- na on tarjota tietoa. Tietojärjestelmän riskit voivat olla tarkemmin tietojärjestel- män osioiden, kuten omaisuuden, laitteiston, ohjelmiston, datan, tallenteiden tai tiedostojen muokkaamista, tuhoamista, varastamista tai saatavuuden puu- tetta. Tietojärjestelmiin kohdistuvat riskit voivat lisäksi tulla joko sisältä tai ul- koa. Ne voivat olla luonnonkatastrofeja, vahinkoja tai tarkoituksenmukaisia toimia. (Salmela, 2008; Straub & Welke, 1998)
Tietojärjestelmiin kohdistuvat riskit ovat oma alueensa ja niiden lisäksi on riskejä, jotka kohdistuvat tietojärjestelmien turvallisuuteen. Straub & Welke (1998) määrittelee tietojärjestelmien turvallisuuteen liittyvät riskit organisaation tiedon tai tietojärjestelmän osan suojaamattomuudeksi tietynlaisia tapahtumia tai tietynlaista vahinkoa vastaan. Nykyteknologia tarjoaa hyvät, mutta monessa tapauksessa riittämättömät työkalut riskien pienentämiseen ja torjuntaan. Esi- merkeiksi Whitman (2003) listaa salasanat, varmuuskopiot ja virusturvan.
(Straub & Welke, 1998; Whitman, 2003)
Tietojärjestelmiin sekä tietojärjestelmien turvallisuuteen liittyvien riskien lisäksi voidaan tunnistaa myös tietoturvallisuuteen liittyviä riskejä. Gordon &
Loeb (2002) mukaan tietoturvallisuudessa tärkeää on ylläpitää CIA-tasapainoa.
Jos yksikin osa-alue tästä perusrakenteesta jää huomiotta, on tietoturvallisuus auttamatta vaarantunut. CIA on lyhenne englanninkielisistä termeistä, jotka tarkoittavat luottamuksellisuutta, eheyttä sekä saatavuutta (engl. confidentiality, integrity, availability). Tämä tarkoittaa sitä, että tiedon tai dokumenttien tulee olla luottamuksellisia, eli vain niiden saatavissa, joilla on tarve niille. Tiedon tulee olla eheää ja oikeellista, eli se ei voi muuttua missään vaiheessa väärän- laiseksi. Näiden kahden lisäksi tiedon täytyy olla saatavilla aina, kun sitä tarvi- taan. Tietokoneiden kokonaisvaltainen rooli organisaatioissa on luonut uuden uhkan järjestelmille. Tietokoneet ovat vastuussa siitä, että tarjottu data vastaa tietoturvallisuuden määritelmää ja henkilöstön vastuulla on ylläpitää tätä ko- konaisuutta. Kokonaisuuden oikeellinen ylläpito varmistaa sen, että tietoturval- lisuuteen liittyvät riskit pienenevät. (Dhillon, 2004; Stewart, 2004)
Kuten ylläolevista määritelmistä voi nähdä, riskit voidaan kokea myös po- sitiivisina riskeinä ja termin määrittely ei aina ole yksioikoista. Tässä tutkimuk- sessa riskejä lähestytään toimeksiantajan compliance-osaston näkökulmasta sekä pyritään luomaan malli, jonka avulla nimenomaan ulkoisten kyberturval- lisuuden riskien arviointi olisi helpompaa. Kyberturvallisuuden riskejä käsitel- lään tässä tutkimuksessa tietenkin riskin perusmääritelmän mukaisesti, mutta kyberturvallisuuden riskit luokitellaan erityisesti tietojärjestelmiin, niiden tur- vallisuuteen sekä tietoturvallisuuteen kohdistuviksi riskeiksi (luku 2.5). Tutki- muksessa riskiä käsitellään ainoastaan negatiivisena, ulkoa kohdistuvana ta- pahtumana, joka voi vaikuttaa haitallisesti yrityksen toimintaan.
Ilmosen, Kallion, Kosken & Rajamäen (2010) mukaan riskit voidaan jakaa niiden tyypin tai lähteen mukaan. Riskityyppejä ovat strategiset, taloudelliset, operatiiviset sekä vahinkoriskit. Jokainen tyyppi voi olla sekä sisäinen, että ul- koinen. Tällöin täytyy riskien arvioinnin prosessissa miettiä sitä, mikä on riskin lähde. Riskin lähteen määrittelyn jälkeen saadaan ymmärrys siitä, onko riski ulkoinen vai sisäinen. Ilmonen ym. (2010) kategorisoivat finanssialan riskit ku- vion 1 mukaisesti. Riskin lähde tarkoittaa sellaista tekijää, joka vaikuttaa riskin toteutumiseen. Riskin toteutumiseen vaikuttavia tekijöitä voi olla useita ja jos- kus se on seurausta pidemmästä ketjureaktiosta. Riskit voivat olla siis organi- saation sisäisiä, kuten valintoihin ja toimintoihin liittyviä, tai organisaatiosta riippumattomia, ulkoisia tekijöitä. Ulkoinen riski voi olla esimerkiksi asiakkai- siin, markkinoihin, lainsäädäntöön tai luonnonmullistuksiin liittyvä riski. (Il- monen ym., 2010)
KUVIO 1 Riskikategoriat (Ilmonen ym. 2010)
Voidaan ajatella, että ulkoiset riskit ovat monesti sellaisia, joihin organi- saatio itse ei pysty vaikuttamaan. Riskiin voidaan kuitenkin varautua ja siltä voidaan pyrkiä suojautumaan parhaalla mahdollisella tavalla. Silloin ulkoiset riskit eroavat sisäisistä riskeistä oleellisesti juurikin tältä osalta. Sisäiset riskit ovat normaalisti sellaisia, joihin organisaatio pystyy vaikuttamaan paremmin esimerkiksi kouluttamalla henkilöstöä tai luomalla kunnollisen dokumentaati- on henkilöstölle. Dokumentaatio voi sitten käsittää ohjeet sosiaalisesta mediasta aina USB-laitteiden käsittelyyn. Sisäiset riskit voivat toisaalta johtua piittaamat- tomuudesta, mutta voivat olla myös vahinkoja. Oleellista on, että organisaatio itse, omilla toimillaan kykenee vaikuttamaan näiden riskien toteutumisen to- dennäköisyyteen.
Riskienhallinta
Kuten aikaisemmin todettiin, myös riskienhallinta on moniulotteinen termi ja sen voi mieltää useammalla tavalla riippuen niin organisaation toimintaympä- ristöstä kuin käsittelevän henkilön taustoista. Berg (2010) jakaa riskienhallinnan kahteen erilaiseen tapaan hallita turvallisuutta. Ensimmäinen tapa on seuraus- peräinen hallinta. Seurausperäisessä hallinnassa keskitytään siihen, että pa- himmallakaan mahdollisella lopputulemalla ei ole vaikutusta tietyn rajan toisel- la puolella. Tapahtuma pyritään rajaamaan pahimmassakin tapauksessa niin tehokkaasti, että se ei pääse karkaamaan muille osa-alueille. Toinen tapa on ris- kikeskeinen turvallisuuden hallinta. Tämä jälkimmäinen tapa mielletään perin- teiseksi riskienhallinnaksi ja on myös se näkökulma, jota tässä tutkielmassa kä- sitellään riskienhallintana. Riskienhallinta tarkoittaa, että jäännösriski analysoi- daan sekä todennäköisyyden että vaaran luonteen osalta. Näin saadaan paljon informaatiota riskin vaikutusten lieventämiseksi. Perinteinen riskienhallinnan malli myös ehdottaa, että jotkin erittäin epätodennäköiset tapahtumat voitaisiin myös hyväksyä sellaisenaan. (Berg, 2010; Lanne, 2007)
Bergin (2010) ja Project Management Body of Knowledgen (PMBOK, 2013) mukaan riskienhallinta on keskeinen osa hyvää hallintoa ja päätöksentekoa jo- kaisella organisaation osa-alueella, sillä jokainen organisaation taso vastaa ta- hollaan riskienhallinnasta jopa tietämättään. Riskienhallintaa onkin hyvä pyrkiä ohjaamaan koko organisaation kattavaksi toiminnaksi (IRM, 2002; ISO 31000, 2009).
Aivan kuten riski, myös riskienhallinta on vaikea määritellä yksioikoisesti, ja riskienhallinnalla on useampia erilaisia määritelmiä. Joissain tapauksissa ris- kienhallintaa kuvataan kokonaisena prosessina, joka sisältää riskien tunnista- misen, arvioinnin ja päätöksenteon riskien ympärillä. Yhtenä yleisesti hyväksyt- tynä määritelmänä Berg (2010) pitää ajatusta siitä, että riskienhallinta on syste- maattinen lähestyminen päätöksentekoon, jossa pyritään asettamaan paras mahdollinen kurssi epävarmuustekijät huomioon ottaen. Epävarmuustekijöi- den huomioiminen tarkoittaa sitä, että tunnistetaan, arvioidaan, ymmärretään, toimitaan ja kommunikoidaan riskin ympärillä tapahtuvat asiat mahdollisim- man tehokkaasti. Tällöin vaaditut resurssit riskienhallintaan voidaan varata jo etukäteen. (PMBOK, 2013; Berg 2010)
Riskienhallinnan voi myös mieltää iteratiiviseksi ja jatkuvaksi prosessiksi, jossa ennakoivasti käsitellään asioita jo ennen kuin ne tapahtuvat. Riskienhal- linta on tärkeä prosessi, jolla pyritään hallitsemaan organisaation kulurakennet- ta, aikatauluissa pysymistä sekä laadukasta toimintaa. Riskienhallinta voi olla muodollista tai epämuodollista toimintaa riippuen tilanteen, projektin tai yri- tyksen luonteesta (Rakos, Dhanraj, Kennedy, Fleck, Jackson & Harris, 2005).
Tämä lisää aikaisemmin mainittua monikäsitteisyyttä ja hankaloittaa osaltaan termin määrittelyä. Koska riskienhallinta on iteratiivinen prosessi, se on myös jatkuva prosessi, joka ei pysähdy koskaan. Tutkimuksessaan Spears & Barki (2010) määrittelevät tietojärjestelmien (IS, engl. Information Systems) turvallisuu- den riskienhallinnan jatkuvaksi riskien tunnistamisen sekä priorisoinnin, että kontrollien implementoinnin ja valvonnan prosessiksi. Turvallisuuden riskien- hallinnan (SRM, engl. Security Risk Management) tarkoituksena on koota yhteen
strategiat, politiikat, toiminnot, roolit, toimenpiteet ja ihmiset, jotka hallitsevat turvallisuuden riskejä. Tästä kokonaisuudesta syntyvät ohjaimet alentavat ris- kien todennäköisyyttä sekä vaikutusta. SRM:n tarkoitus on pitää kasassa tieto- turvallisuuden CIA, eli tiedon luottamuksellisuus, eheys ja käytettävyys (Spears
& Barki, 2010).
ISO Guide (2009) määrittelee riskienhallinnan koordinoiduiksi toimiksi, joilla pyritään ohjaamaan ja kontrolloimaan organisaatiota riskeihin liittyvissä toimissaan. Riskienhallinnalle pyritään luomaan runko (engl. framework). Runko on työkalupakki, joka tarjoaa pohjan ja perustukset organisaatiolle luoda kun- nolliset puitteet riskienhallinnan suunnitteluun, toteutukseen, valvontaan, arvi- ointiin ja jatkuvaan parantamiseen koko organisaatiossa. ISO Guide (2009) on siis samoilla linjoilla Bergin (2010) sekä Rakosin ym. (2005) kanssa siitä, että ris- kienhallinta on jatkuva prosessi, jolla pyritään tuottamaan lisäarvoa yritykselle (ISO Guide, 2009; Berg, 2010; Rakos ym., 2005).
Riskienhallintaa ja riskianalyysiä ei välttämättä kannata tarkastella sisäk- käisinä prosesseina, vaikka ne usein sellaiseksi mielletäänkin. Gerber ja Solms (2005) toteavat riskienhallinnan olevan riskianalyysin jälkeinen toimenpide, joka koostuu heidänkin mukaansa riskianalyysiin perustuvista toimintaa oh- jaavista toimenpiteistä. Toimenpiteiksi he luettelevat suunnittelun, valvonnan ja kontrolloinnin, kun taas riskianalyysi koostuu riskien tunnistamisesta. Ris- kien tunnistaminen pitää sisällään vakavuuden, vaikutusten sekä todennäköi- syyden arvioinnin. Gerber & Solms (2005) lainaavat Scarffia (1993) sekä Fros- dickia (1997) ja vetävät yhteen riskienhallinnan ja riskianalyysin kokonaisval- taiseksi riskien hallitsemiseksi.
Kyberturvallisuuden riskien arviointi on hyvin samankaltaista kuin miksi riskien arviointi mielletään yleisesti tekniikan alalla tai esimerkiksi organisaa- tioiden toiminnan suojaamisessa ja jatkuvuuden suunnittelussa. Kyberturvalli- suuden riskit ovat vain yksi osa-alue, johon informaatioteknologian riskienhal- linnassa keskitytään. Youngin (2009) mukaan organisaatiot ovat hyvin riippu- vaisi informaatioteknologiasta. Riippuvuussuhde johtaa siihen, että kuten tieto- turvallisuutta, myös kyberturvallisuutta kannattaa lähestyä nimenomaan ris- kien kannalta.
Laajalti hyväksytyssä muodossa oleva esimerkki riskienhallinnan yleisestä prosessista löytyy mm. IRM:n (2002) ohjeistuksesta. Ohjeistuksessa riskienhal- linta on kuvattu aikaisemmin mainittuna iteratiivisena ja jatkuvana prosessina, jonka perustaksi on sijoitettu organisaation strategiset tavoitteet. Kun strategiset tavoitteet ovat selvillä, voidaan siirtyä riskien arviointiin, joka pitää sisällään kaksi kokonaisuutta. Riskien arviointiin lukeutuvat IRM (2002) mukaan riski- analyysi, joka pitää sisällään riskien tunnistamisen, kuvaamisen ja estimoinnin.
Analyysin lisäksi arviointiin kuuluu myös evaluaatio, joka nojaa analyysissa tuotettuun dataan. Vaikka nämä onkin sijoitettu samaan kokonaisuuteen, niitä tulisi tarkastellaan omina palikoinaan, jotka yhdessä muodostavat kokonaisuu- den. Kun riskien arviointi saadaan valmiiksi, raportoidaan uhkat ja mahdolli- suudet tarkasti koko ajan organisaation suuntaan kommunikoiden. Raportoin- nin jälkeen tehdään päätöksiä siitä, mihin suuntaan riskien kanssa liikutaan ja
miten riskejä käsitellään. Riskien käsittelyn jälkeen jäännösriskit raportoidaan tarkasti jälleen organisaation suuntaan kommunikoiden. Prosessin lopussa siir- rytään seurantavaiheeseen, jonka aikana arvioidaan tehtyjä toimenpiteitä ja nii- den vaikutuksia riskeihin. Tätä prosessia toistetaan jatkuvasti ja sen aikana syn- tyy uusia näkökulmia sekä uusia tapoja torjua riskejä. Prosessia voidaan tukea jatkuvasti muodollisella auditoinnilla ja tehtyjä päätöksiä pyritään haastamaan.
Riskienhallinta ei ole koskaan valmis, vaan pienimmätkin asiat kehittyvät ajan myötä. (IRM, 2002)
Kyberturvallisuuden riskienhallinta ja arviointi on hankala prosessi, jossa monesti turvaudutaan intuitioon. Baskerville (1991) käsittelee artikkelissaan riskien analysointia ja riskienhallintaa sekä pyrkii selittämään, miksi riskienhal- linta on laajasti hyväksytty prosessi, vaikka sen yhtenä isona osa-alueena on vahva intuitio ja jopa tuuri. Baskervillen (1991) artikkelista saa käsityksen, että riskienhallinnan hyödyt työkaluna ja kommunikointivälineenä ovat ajaneet tie- teellisen pohjan ohi. Riskienhallinta ei täytä kunnolla tieteellisen metodin omi- naispiirteitä. Riskien vaikutukset ja epävarmuus nojaavat liikaa tuuriin ja mikäli onnettomuus ei toistu, johdolla ei ole mitään palautetta siitä, onnistuuko ris- kienhallinnan kehittäminen. Tästä syystä kehotetaankin keskittymään suurem- piin kokonaisuuksiin eikä pelkästään yksittäisiin tapauksiin riskien arvioinnissa ja riskienhallinnan suunnitelmia laadittaessa. (Baskerville, R. 1991)
Esimerkkinä kyberturvallisuuden riskienhallinnan sekä yleisestä riskien- hallinnan hankalasta tieteellisestä pohjasta Baskerville (1991) esittelee Popperin (1935) tieteelliset lait, jotka ovat hyviä teorioita, mutta ne ovat kuitenkin vain teorioita, joita ei käytännössä välttämättä kyetä hyödyntämään. Nämä teoriat pohjaavat olettamuksiin ja yleistyksiin, joissa oletetaan, että asioiden tila ei muutu ajan kuluessa. Todellisuus kuitenkin on, että Popperin (1935) lait eivät pidä riskienhallinnassa paikkaansa, mikäli yksikin ehto muuttaa muotoaan.
Tämä tarkoittaa sitä, että riskien analysointi ja riskienhallinta eivät ole tieteelli- sesti täysin valideja metodeja. Toisaalta myöskään fundamentaaliset fysiikan laitkaan eivät saavuta Popperin lakia siitä, että mikään ei poikkea oletetusta (Baskerville, R. 1991).
Jotta riskienhallinta olisi riittävän tehokasta, tulee organisaation toimin- nan täyttää tietyt uskomukset, käyttäytymismallit, kyvyt ja toiminnot. Kun nä- mä osa-alueet tulevat täytetyiksi, organisaatio samalla todistaa, että tietoturval- lisuus on sille hallinnollisesti vakavasti otettu aihe (Allen, 2005; Whitman &
Mattord, 2012). Allen (2005) sekä Whitman & Mattord (2012) jakavat nämä osa- alueet viiteen tarkempaan kokonaisuuteen:
• Turvallisuusperiaatteita sovelletaan koko organisaation ta- solla.
• Turvallisuutta käsitellään, kuten mitä tahansa muuta liike- toimintaan vaikuttavaa kokonaisuutta.
• Turvallisuus otetaan huomioon päivittäisissä rutiineissa, suunnittelussa ja operationaalisissa toimissa.
• Turvallisuus integroidaan organisaation toimintoihin ja pro- sesseihin.
• Kaikki mukana olevat toimijat, joilla on pääsy organisaation verkkoon, ymmärtävät heidän yksittäisen vastuunsa. Toimi- joiden tulee kunnioittaa turvallisuutta ja pyrkiä suojaamaan organisaation turvallisuus.
Vaikka riskienhallinnan määritelmä on monikäsitteinen ja se nojaa kovasti olettamuksiin ja alan tai toimijoiden asiayhteyksiin, voidaan ylläolevia määritelmiä hyödyntää erinomaisesti kyberturvallisuuden riskienhallinnassa sekä riskien arvioinnissa. Aivan kuin kyberturvallisuuden riskit, myös kyberturvallisuuden riskienhallinta kohdistuu tutkimuksessa samoille osa- alueille tietojärjestelmissä ja tietoturvallisuudessa. Tutkimuksessa tarkastellaan ulkoisia tekijöitä, joten riskienhallinnassakin keskistytään siihen, miten ulkoa tulevia kyberturvallisuuden riskejä voidaan arvioida. Aikaisemmin on todettu, että riskienhallinta prosessina on sellainen, mihin koko organisaation tulee ottaa osaa. Tiedottamisen organisaation suuntaan tulee olla hyvää ja siinä ei saa olla katkoksia. Näin turvataan riskienhallinnan suurempi onnistumisprosentti, kun kaikki ovat tietoisia siitä, mitä ollaan tekemässä ja miksi. Tästä päästäänkin riskienhallintaa ohjaaviin tekijöihin, jotka samalla toimivat tärkeänä tiedottamisen välineenä organisaation suuntaan.
2.2 Organisaation strategia
Riskien arviointia ohjaavia tekijöitä on useita. Niistä yksi, riskienhallinnan poh- jankin luova tekijä on organisaation strategia (IRM, 2002). Kuten IRM:n (2002) mallista nähdään luvussa 3, on organisaation strategia lähtökohtana koko ris- kienhallinnalle ja näin ollen se on myös riskien arviointiin suuresti vaikuttava tekijä. Riskienhallinnan pohjan lisäksi strategia on yrityksen liiketoiminnalle tärkeä kulmakivi (Nieminen, 2016). Strategialla organisaatio kuvaa sen, miten se voi tuottaa arvoa nyt ja tulevaisuudessa yhteistyökumppaneilleen sekä si- dosryhmilleen (Kaplan & Norton, 2004). Organisaation strategian kehittyminen tapahtuu pikkuhiljaa sekä suunnittelun kautta että erilaisten sisäisten toiminta- tapojen ohjaamana (Porter, 1980).
Yrityksen tavoitteena on sijoittua omaan toimintaympäristöönsä sopivalla tavalla, kilpailuedun saavuttamista, ja strategian tehtävänä on ohjata organisaa- tio tavoitteeseensa. Kilpailuedun saavuttamiseksi organisaatio havainnoi muut- tujia toimintaympäristössään ja pyrkii vastaamaan toimintaympäristöä muo- vaaviin tarpeisiin. (Porter, 1980). Nieminen (2016) on Porterin kanssa samoilla linjoilla ja toteaa, että organisaatio määrittelee tavoitteet sekä ohjaa omaa toi- mintaansa huomioiden jatkuvasti muuttuvan toimintaympäristön sekä tarpeet, joita jatkuva muutos tuo tullessaan. Strategian ajantasaisuuden takaamiseksi organisaation täytyy kyetä myös muuttamaan strategiaa tarvittaessa (Nieminen, 2016). Strategiaa varten organisaation on kartoitettava resurssinsa ja päätettävä,
miten näiden voimavarojen tuottama arvo voidaan maksimoida (Kaplan &
Norton, 2000).
Arvo ei ole yksiselitteinen käsite tässä tapauksessa, sillä se on riippuvai- nen yrityksen toimintaympäristöstä sekä strategiasta. Organisaation kokonais- arvo koostuu abstrakteista ja konkreettisista elementeistä. Konkreettisia esi- merkkejä ovat mm. rahallinen omaisuus, kalusteet ja osakkeiden osuus. Abst- rakteja elementtejä ovat mm. brändin tunnettavuus, hyvä tahto, julkinen hyöty ja tavaramerkki. (PMBOK, 2013; Kaplan & Norton, 2000)
Paras arvo sekä kilpailuetu organisaatiossa saavutetaan, kun strategiaa käytetään ohjaamisen lisäksi johdon ja työntekijöiden yhteisenä kommunikaa- tiovälineenä ja -kielenä, kuten Mantere, Tienari, Vaara & Välikangas. (2008) eh- dottavat. Strategian luonne on pohtimista ja keskustelua. Strategia on osa orga- nisaation kehittämistä, hyvinvointia ja johtamista. Strategia luo pohjan yritys- toiminnalle sekä asettaa yhteisesti sovitun suunnan, jota organisaatio lähtee tavoittelemaan. (Mantere ym,. 2008).
Mauryn (2016) mukaan vaikka suomalaisissa organisaatioissa strategia on yleensä erinomaisesti suunniteltu ja raportoitu, niin sen ymmärtää sekä pystyy kuvaamaan vain 13 prosenttia organisaation ylimmästä johdosta ja vain kah- deksan prosenttia keskijohdosta. Vielä huolestuttavampaa on se, että Mauryn (2016) mukaan tavallisista työntekijöistä 98% ei tiedä, mihin suuntaan organi- saatio on menossa ja mitä se tavoittelee. Strategian voidaan siis päätellä olevan merkityksellinen myös organisaation lopputuotteelle, sillä kaiken työn jälkeen organisaation lopputuote on se, mihin strategia vaikuttaa eniten.
Organisaation kyberturvallisuuden riskienhallinnalla pyritään suojaa- maan niin organisaation omaisuus kuin organisaation toimintakin. Loppupe- leissä organisaation lopputuote on se, joka tuo organisaatiolle kilpailuedun ja tekee organisaatiosta tuottavan sen sidosryhmien silmissä. Strategia ei ole or- ganisaatioissa kuitenkaan niin hyvin ymmärretty asia, että siitä saisi kaiken mahdollisen hyödyn riskienhallintaan. Onkin helppo spekuloida, miksi organi- saatioiden strategia ei välity työntekijöille asti. Onko kyse siitä, että työntekijöi- tä ei kiinnosta sisäistää strategiaa? Eivätkö he ymmärrä organisaation strategiaa esimerkiksi liian hankalan kielen tai epäselvän rakenteen takia? Onko strategiaa loppupeleissä edes jaettu työntekijöille asti vai onko se vain jokin abstrakti käsi- te, jonka olemassaolon työntekijät tiedostavat, mutta eivät ymmärrä asiasta sen enempää? Näistä kysymyksistä voisikin tehdä kokonaan uuden tutkimuksen liittyen organisaation strategian ymmärtämiseen sekä strategian ymmärtämisen vaikutuksen organisaation tuloskehitykseen sekä sen tuottavuuteen sidosryh- mien silmissä.
2.3 Organisaatiokulttuuri
Organisaation strategian lisäksi riskien arviointia ohjaavana tekijänä voidaan tunnistaa myös organisaatiokulttuuri. Tsohou, Karyda, Kokolakis & Kioun- touzis (2006) mukaan kulttuurilla on suora vaikutus organisaation riskienhal-
lintaan ja riskien arviointiin, koska kulttuuri määrittelee sen, miten yksilöt ja sitä myötä organisaatiot kokevat esimerkiksi riskin vaikuttavuuden. Kulttuuri on abstrakti käsite, jolla on vaikutusta yksilöiden käytökseen sosiaalisissa tilan- teissa sekä voima ohjata organisaatiota oikeaan tai väärään suuntaan (Schein, 1985).
Organisaatiokulttuuria määritellessä tulee Scheinin (1985) mukaan ottaa huomioon kulttuurin syntyminen, joka vaatii suurta määrää yhteisiä kokemuk- sia sekä yhteistä historiaa. Nämä kokemukset, jotka synnyttävät organisaa- tiokulttuuria, ovat ongelmatilanteista selviämistä ja näiden kohtaamista yhdes- sä. Kulttuuria tarkasteltaessa Schein (1985; 1999) listaa kolme eri tasoa: organi- saation näkyvät rakenteet ja prosessit, perusoletukset sekä organisaation arvot strategioineen, päämäärineen ja filosofioineen. Nämä kolme tekijää myös muokkaavat yksilöiden näkemyksiä sekä kykyjä arvioida riskejä (Tsohou ym., 2006). Vanhalan, Laukkasen ja Koskisen (2002) mielestä organisaatiokulttuuris- ta puhuttaessa kulttuurin voi määritellä vain, jos organisaatiosta löytyy riittä- västi yhteisiä piirteitä, jotka ovat kehittyneet ajan myötä. Kulttuuri itsessään koostuu Scheinin (1985) mukaan arvoista, uskomuksista, perinteistä, käytän- nöistä sekä tavoista. Jäsenet organisaatiossa jakavat nämä osaset keskenään jol- lain tavalla ja siirtävät ne eteenpäin uusille tekijöille sekä tuleville sukupolville.
Lämsä ja Hautala (2005) pitävät myös yllä esiteltyä Scheinin määritelmää yhtenä tunnetuimpana organisaatiokulttuurin kuvauksena. Heidän mukaansa kulttuuri voidaan jakaa kolmeen osaan:
1. organisaatiokulttuuri on yhteinen identiteetti, joka määrittelee sen mitä ja ketä organisaation jäsenet ovat
2. organisaatiokulttuuri sitouttaa jäsenet organisaation arkeen ja pyö- rittämiseen
3. organisaatio luo sekä selventää käyttäytymissääntöjä sekä yhteisiä pelisääntöjä työpaikalla.
Lämsä ja Hautala (2005) mainitsevat myös, että tarinat ja yhteiset tapahtumat kehittävät organisaatiokulttuuria jatkuvasti.
Organisaatiokulttuurin muuttaminen ei pidä olla ensimmäinen askel or- ganisaation kehittämiseen, sillä se on erittäin hidasta. Organisaation kehittä- miseksi kulttuurin muuttaminen on kuitenkin pakollista. Organisaatiokulttuu- rin muuttaminen auttaa kehityksessä, koska silloin työntekijät eivät asetu muu- tosta vastaan, vaan kokevat sen hyödylliseksi (Mattila, 2007). Kokkomäki &
Nortunen (2016) listaavat Lämsää ja Hautalaa (2005) mukaillen organisaa- tiokulttuurin muutosta edistäviksi asioiksi seuraavat pääkohdat:
• organisaation jäsenten jatkuva kouluttaminen ja kehittämi- nen
• toimintatapojen muuttaminen sekä arkirutiineissa, että työ- ympäristössä
• organisaation rakenteiden uudelleenjärjestely
• käsitteiden, tapojen sekä tarinoiden päivittäminen
• muutospaine, joka juontaa juurensa äkillisestä ja dramaatti- sesta ulkoisesta tapahtumasta
• organisaation jäsenten palkitseminen, arviointi ja kiittäminen
• esimiesten sekä muiden avainhenkilöiden vaihtuminen
• uusiin arvoihin sekä päämääriin tähtäävät ihanteet.
Selvää on se, että välinpitämättömässä organisaatiossa myös kulttuuri on vä- linpitämätön ja siellä kulttuuria on hankala, mutta ei mahdoton kehittää pa- remmaksi. Välinpitämättömässä kulttuurissa myös riskienhallinta on haastavaa.
Mikäli ihmiset eivät välitä tekemisistään, vaikuttaa se tietenkin suoraan kyber- turvallisuuden riskienhallintaan ja resursseja täytyy kohdistaa enemmän sisäis- ten uhkien tunnistamiseen ja näistä syntyvien riskien estämiseen kuin ulkoisista uhkista selviämiseen. Jotta voitaisiin saavuttaa kyberturvallisuuden ja tietotur- vallisuuden kannalta ihanteellinen ympäristö, joka itsessään ylläpitää riskien- hallinnan periaatteita, tulee organisaatiokulttuuria pyrkiä muuttamaan pa- remmaksi näiden tavoitteiden kannalta. Kuten yllä on kuvattu, organisaa- tiokulttuurin muuttaminen on hidas ja paljon resursseja syövä prosessi, mutta se on myös pakollinen prosessi. Mikäli organisaation halutaan päätyvän erin- omaiseen kyberturvallisuuden riskienhallinnan prosessiin, tulee resurssit koh- distaa oikein ja ne tulee kommunikoida hyvin myös organisaation jäsenille. Ai- van kuten kiteytyksessä mainitaan, myös Boehm (1991) sanoo, että muutokset käytänteisiin tulee aina ottaa käyttöön mieluummin askel askelelta kuin kaikki kerralla.
2.4 Tietoturvapolitiikka
Organisaation strategian ja organisaatiokulttuurin lisäksi riskien arviointia oh- jaavana tekijänä voidaan pitää organisaation tietoturvapolitiikkaa. Tietoturva- politiikka on riskienhallinnan työkaluna hyvä, sillä se pohjautuu organisaation strategiaan sekä toimintaympäristön tarpeisiin (Kokkomäki & Nortunen, 2016).
Sanastokeskuksen sanakirjan mukaan tietoturvapolitiikalla tarkoitetaan sellais- ta organisaation hyväksymää kokonaisuutta, joka ohjaa tietoturvan päämääriä, periaatteita sekä toteutusta (Sanastokeskus TSK, 2004). Tästä syystä tietoturva- politiikalla on suora vaikutus organisaation strategiaan, riskienhallintaan ja sitä myötä myös riskien arviointiin.
Tietoturvapolitiikkaa määritellessä voidaan tukeutua Bulgurcu, Cavuso- glu & Benbasat (2010) rakentamaan määritelmään. Heidän mukaansa tietotur- vapolitiikka on selvitys organisaatiossa olevista rooleista ja vastuista, joihin työntekijät on nimetty. Sen tarkoitus on pitää huoli, että kaikki organisaation toimijat noudattavat turvallisia tapoja tiedon, laitteiden ja tilojen käsittelyssä.
Politiikassa erotellaan roolit sekä vastuut tiedon, datan sekä teknisten laitteiden ja muiden resurssien turvaamisessa (Bulgurcu ym., 2010). Tarkoituksena tieto- turvapolitiikalla on tarjota ohjeita ja selkeyttä organisaation tietoturvan suojaa- miseen, kuten riittävät käytänteet ja mekanismit (Wood, 1999).
Tietoturvapolitiikka on ohjeistus tai järjestely, joka on luotu ylläpitämään organisaation tietoturvaa ja tietoturvallisuutta. Tietoturva finanssialalla on tär- keä kokonaisuus, sillä finanssiala on tarkkaan säädeltyä. Yhtenä korkeamman tason valvojana Suomessa toimii Finanssivalvonta. Koska ala on niin tarkkaan valvottu, voidaan olettaa, että myös tietoturva alan organisaatioissa olisi oikeal- la mallilla. Kuten aikaisemmin tässä luvussa on todettu, tietoturva koostuu luottamuksellisuuden, eheyden ja käytettävyyden säilyttämisestä (CIA) (Gor- don & Loeb, 2002; ISO/IEC 27000:2018). CIA:n lisäksi tietoturvassa pyritään kiinnittämään huomiota myös tunnistettavuuteen, kiistämättömyyteen, vas- tuullisuuteen sekä luotettavuuteen (ISO/IEC 27000:2018). Tietoturvallisuus varmistaa sen, että oikea tieto on saatavilla vain sitä tarvitseville, oikeudet saa- neille tahoille (luottamuksellisuus, engl. confidentiality). Tiedon tulee olla sellais- ta, kuin se on alun perin tarkoitettu olevaksi (eheys, engl. integrity), eli tieto ei ole muuttunut tai jollain muulla tavalla vaarantunut. Tiedon tulee lisäksi olla aina saatavilla, kun sitä tarvitaan (käytettävyys, engl. availability) (Whitman &
Mattord, 2010). CIA-periaate on saanut osakseen myös arvostelua. Dhillon &
Backhouse (2000) arvostelevat CIA-periaatetta, koska heidän mukaansa tekno- logian kehitys aiheuttaa sen, että tietoturvallisuus on kaksiteräinen miekka.
Samalla, kun tietoa pyritään suojaamaan, se pyritään myös saattamaan saatavil- le mistä ja milloin tahansa sitä tarvitaan.
Hale & Swusten (1998) määrittelevät tieteen alalla käytetyt turvallisuus- säännöt sellaiseksi järjestelmän ennalta määritetyksi tilaksi tai toimintatavaksi, joka on mahdollista ennakoidussa tilanteessa. Toimintatavat ja tila on määritel- ty tällöin ennen tapahtumaa sekä hyväksytty järjestelmään turvallisuutta paran- tavana järjestelmänä tai tapana saavuttaa vaadittu turvallisuuden taso.
Whitman & Mattordin (2010) näkemyksen mukaan tietoturvapolitiikkoja on organisaatioissa yleensä kolmentyylisiä: EISP, ISSP sekä SysSP. Enterprise Information Security Policy (EISP) on kokonaisuus, joka kuvaa yleistä tietotur- vaa organisaatiossa. Lisäksi EISP kuvaa strategisen informaatioteknologian suunnitelman. Issue Specific Security Policy (ISSP) on sääntökokonaisuus, jon- ka avulla organisaation työntekijät osaavat käyttää sovelluksia, laitteita tai vaikkapa käyttäytyä sosiaalisessa mediassa tietoturvallisella tavalla. System- specific Policy (SysSP) on tekninen, hallinnollinen tai molempia kuvastava ko- konaisuus. SysSP hallinnoi teknologioita tai käyttöoikeuksia erilaisten listojen avulla, kuten Access Control List (ACL). (Whitman & Mattord, 2010)
Tietoturvapolitiikka määrittelee organisaation tietoturvallisuuden sekä myös tietoturvapolitiikan itsessään. Tämä on tärkeä vaihe, sillä määritelmiä on useita ja tietoturvapolitiikassa tulee tehdä selväksi se, miten organisaatiossa tietoturva tulee ymmärtää ja miten sitä käsitellään (Höne & Eloff, 2002). Tieto- turvapolitiikassa tulee ottaa huomioon organisaatiokulttuuri, organisaation strategia sekä organisaation työntekijät ja tahot, jotka tietoturvapolitiikkaa pyr- kivät noudattamaan. Hönen ja Eloffin (2002) mukaan organisaatiolla tulee olla selkeä yhteinen kuva siitä, kuka hyväksyy tietoturvapolitiikan, kuinka kattava se on ja mitä se pitää sisällään. Tietoturvapolitiikka on lisäksi aina organisaa-
tiokohtainen ja millään organisaatiolla tietoturvapolitiikka ei voi olla samanlai- nen.
Tietoturvapolitiikka saattaa olla, kuten organisaation strategiakin, erittäin hyvin laadittu kokonaisuus, mutta haasteena on usein sen käyttöönotto. Kok- komäki & Nortunen (2016) puhuvat siitä, kuinka pelottavana tietoturvallisuu- den keskiössä olevaa kybermaailmaa pidetään Suomessa. Ihmisten pelko on sinänsä aiheellista, sillä kyberturvallisuus ei ole pelkkää teknistä tietokoneiden leikkikenttää. Yksi suurimmista tekijöistä tietoturvallisuuden rikkoontumisessa on inhimillinen virhe tai ajattelemattomuus. Inhimillistä tekijää (engl. human factor) voi pienentää erilaisilla koulutuksilla ja organisaation onkin hyvä panos- taa henkilökunnan kouluttamiseen sekä listata tämä strategiassaan (Kokkomäki
& Nortunen, 2016).
Sen lisäksi, että tietoturvapolitiikka listaa organisaation tietoturvakäytän- teet sekä määrittelee tietoturvan organisaatiossa, se myös listaa seuraamuksia tietoturvarikkomuksista sekä tietenkin tietoturvapolitiikan mukana vaikuttavat liitteet (Hakala, Vainio & Vuorinen, 2006). Tietoturvarikkomukset tässä tapauk- sessa ovat tietoturvapolitiikan vastaisia toimia, jotka altistavat organisaation uhille ja näistä aiheutuville riskeille. Kuten aikaisemmin on todettu, tietoturvan yksi suurimpia ongelmakohtia ovat inhimilliset tekijät. Inhimillisiä tekijöitä vä- hentääkseen organisaation tulee luoda tietoturvapolitiikasta sellainen, että kuka tahansa voi sen lukea ja ymmärtää. Tietoturvapolitiikat ovat usein julkisia, joten niissä ei saa käyttää sellaista tietoa, mikä lisää hyökkäysvektoreiden määrää (Miettinen, 1999). Yleensä tietoturvapolitiikan liitteet luokitellaan salaisiksi ja niistä löytyvä tieto tulee pitää organisaation sisällä (Hakala ym., 2006). Tieto- turvapolitiikka on olemassa, jotta organisaation strategia tietoturvallisuuden osalta sekä organisaation suhtautuminen tietoturvaan välittyisi myös organi- saation työntekijöille. Tietoturvapolitiikka itsessään on hyvä pitää lyhyenä ja ytimekkäänä (Miettinen, 1999).
2.5 Kyberturvallisuutta vai tietoturvallisuutta
Luvussa aikaisemmin esiteltyyn riskienhallinnan laajempaan viitekehykseen mahtuu pienempiä kokonaisuuksia, joista seuraavaksi käsitellään kyberturval- lisuutta sekä tietoturvallisuutta. Nämä osittain päällekkäin menevät termit koe- taan monesti samaksi asiaksi, mutta Von Solms & Van Niekerk (2013) huomaut- tavat, että ne ovat vain osittain päällekkäisiä termejä. Kyberturvallisuus kattaa myös tietoturvallisuuden, mutta on laajempi kokonaisuus, jossa turvataan tie- don lisäksi muutkin organisaatiolle arvoa tuovat voimavarat, kuten työntekijät (kuvio 2). Tietoturvallisuudessa inhimilliseen tekijään viitataan yleensä, kun tarkoitetaan henkilön osallisuutta turvallisuusprosessissa, mutta kyberturvalli- suus laajentaa käsitteen myös mahdolliseksi hyökkäysvektoriksi. Tämä tarkoit- taa sitä, että turvallisuusprosessin osana yksilöt ovat myös mahdollisia kohteita, joita vastaan pahantahtoinen toimija voi hyökätä. (Von Solms & Van Niekerk, 2013).
KUVIO 2 Tietoturvallisuuden ja kyberturvallisuuden suhde (Von Solms & Van Niekerk, 2013 mukaillen)
Kyberturvallisuus on saavuttanut viime aikoina kansainvälistä huomiota ja yli 50 valtiota on julkaissut kyberturvallisuusstrategian, jossa ne ottavat kan- taa kybertilaan (kyberavaruus, kybertoimintaympäristö), kyberrikoksiin ja kyber- turvallisuuteen (Klimburg, 2012). Näiden 50 valtion joukossa on myös 33 valtio- ta, jotka sisällyttävät kybersodan armeijansa suunnitteluun ja organisointiin (Lindström, 2012). Valtiot panostavat merkittäviä summia oman kyberturvalli- suutensa säilyttämiseen (Von Solms & Van Niekerk, 2013).
Kyberturvallisuus ymmärretään usealla eri tavalla ja onkin tärkeää, että se pyrittäisiin määrittelemään mahdollisimman yhtenäisesti. Yksi määritelmistä on esimerkiksi Oxfordin (2018) sanakirjasta löytyvä tietokoneiden tai järjestel- mien suojaaminen luvatonta pääsyä tai hyökkäystä vastaan. Von Solms & Van Niekerk (2013) määrittelevät kyberturvallisuuden ITU:a (The Internationam Tele- communications Union) mukaillen:
• työkalupakiksi
• käytänteiksi
• turvallisuuskäsitteiksi
• turvatoimiksi
• ohjeistuksiksi
• riskienhallinnan lähestymistavoiksi
• toimenpiteiksi
• kouluttamiseksi ja harjoitteluksi
• parhaiksi käytänteiksi
• luottamukseksi
• teknologioiksi.
Tätä koko pakettia käytetään organisaation kybertilan puolustamiseen. Puolus- tuskohteita ovat organisaation sekä yksilöiden voimavarat, jotka pitävät sisäl- lään:
• tietokoneet ja ICT-laitteet
• henkilöstön
• infrastruktuurin
• sovellukset
• palvelut
• telekommunikaatiojärjestelmät
• organisaation koko datan. (Von Solms & Van Niekerk, 2013) Kyberturvallisuus pyrkii samaan kuin aikaisemmin esitelty tietoturvallisuus, eli säilyttämään sekä organisaation että henkilöstön voimavarojen luottamukselli- suuden, eheyden ja käytettävyyden. Eheyteen liitetään myös kiistämättömyys (engl. non-repudiation) sekä datan oikeellisuus (engl. authenticity). (Von Solms &
Van Niekerk, 2013; ITU, 2018)
Kyberturvallisuuden käsite on saanut jalansijaa myös Suomessa (Limnéll, 2014). Suomalainen määritelmä kyberturvallisuudelle löytyy mm. Lehdon ja Kähkösen (2015) artikkelista, jossa he määrittelevät kyberturvallisuuden kyber- tilan puolustamiseksi kyberhyökkäyksiä vastaan. Kyberturvallisuus on heidän mukaansa toimenpiteiden sarja, jotka pyrkivät suojaamaan organisaation ky- berhyökkäysten vaikutuksilta. Kyberturvallisuus tarjoaa työkalut kyberhyök- käysten vastaisiin toimiin aivan kuin riskienhallinta tarjoaa työkalut riskejä vas- taan toimimisessa. Kyberturvallisuus pohjautuu organisaation tekemälle uhka- analyysille, joka on osa riskienhallintaa ja tarkemmin osa riskien arviointia ja tunnistamista (Lehto & Kähkönen, 2015).
Monen muun maan tavoin myös Suomella on oma kyberturvallisuusstra- tegiansa. Siinä Turvallisuus- ja puolustusasiain komitea määrittelee kybertur- vallisuuden sellaiseksi tavoiteltavaksi tilaksi, jossa kybertila on luotettava ja turvattu. Tätä tavoitetilaa avataan kyberturvallisuusstrategiassa hieman enem- män toteamalla, että tavoitteen toteutuessa kybertilasta ei aiheudu mitään on- gelmia tiedon käsittelylle. Luottamus kybertilaan pohjautuu toimijoiden (yhtei-
sön) riittävään tietoturvallisuusmenettelyyn. Nämä menettelyt johtavat tavoite- tilassa siihen, että riskien toteutuessa järjestelmä on kykenevä estämään, lieven- tämään ja sietämään syntyviä vaikutuksia. Kyberturvallisuusstrategian mukaan kyberturvallisuus on toimenpiteitä, jotka pyrkivät ennakoimaan, sietämään ja suojaamaan Suomen yhteiskuntaa sekä infrastruktuuria näihin kohdistuvilta toimilta, jotka aiheuttaisivat ongelmia Suomelle tai yhteiskunnalle. (Turvalli- suus- ja puolustusasiain komitean sihteeristö, 2013)
3 Riskienhallinnan mallit
Tässä luvussa esitellään riskienhallinnan menetelmiä, jotka kaikki käsittelevät myös riskien arviointia osana koko mallia. Riskienhallinnan kannalta riskien tunnistaminen ja luokittelu ovat tärkeitä toimenpiteitä, mutta vielä tärkeämpiä ne ovat riskien arvioinnin kannalta. Riskienhallintaa varten on kehitetty use- ampi malli, joista tässä tutkielmassa käsittelyyn otetaan Project Management Body of Knowledge (PMBOK), ISO-standardi 31000 sekä Institute of Risk Ma- nagementin 2002 julkaisema riskienhallinnan standardi. Lisäksi myöhemmin luvussa 4 luodaan katsaus ISO 27001-standardiin, kansalliseen turvallisuusau- ditointikriteeristöön (Katakri) ja Suomen valtiovarainministeriön julkaisemaan VAHTI-ohjeeseen. Mitä tarkemmin riskit on tunnistettu ja luokiteltu, sitä var- memman arvion niistä pystyy tekemään. Huomionarvoinen seikka on kuiten- kin se, että riskien arviointi on aina subjektiivista. Mallit ja työkalut valittiin tutkimukseen käsiteltäviksi, koska ne ovat tunnettuja sekä standardoituja ko- konaisuuksia ja myös tutkittava organisaatio hyödyntää niitä riskienhallinnan työssään lukuun ottamatta PMBOKia, joka on yleisluonteensa takia tutkijan mukaan ottama malli.
3.1 Project Management Body of Knowledge
Vaikka PMBOK (2013) onkin kehitetty alun perin projektinhallintaa ohjaavaksi työkaluksi, on siinä esitelty malli myös erittäin yleispätevä kokonaisuus kyberturvallisuudenkin riskienhallintaan. PMBOK (2013) on alallaan erittäin hyvin tunnettu teos, joka määrittelee riskin epävarmuuden tilaksi tai tapahtumaksi, joka vaikuttaa projektiin ennalta-arvaamattomalla tavalla. Tässä tapauksessa PMBOKin (2013) mukaan riski voi olla siis myös positiivinen.
Tutkimuksessa positiiviset riskit jätettiin tarkastelun ulkopuolelle, sillä ne ovat kyberturvallisuuden kannalta erittäin harvinaisia. Negatiivinen riski nähdään aina uhkana organisaation toiminnalle eri osa-alueilla ja se voi vaikuttaa lopputuotteen laatuun, kehittämisen aikatauluihin tai esimerkiksi synnyttää
lisää kustannuksia. Riski voi olla yksittäinen tekijä tai useamman tapahtuman tai tekijän summa ja riski on läsnä kaikessa, mitä organisaatio tekee. PMBOK (2013) jakaa riskienhallinnan pieniin palasiin, joita noudattamalla organisaatio kykenee luokittelemaan ja torjumaan riskejä.
Riskienhallinnan pohja luodaan PMBOKin (2013) mukaan riskienhallin- nan suunnittelutyöllä. Suunnitteluvaiheessa kuvataan, miten riskienhallinnan toimenpiteitä tai aktiviteetteja tullaan toteuttamaan projektissa tai organisaation päivittäisissä toimissa. Jo suunnitteluvaiheessa on hyvä kommunikoida tehty työ koko organisaatiolle, jotta organisaation työntekijät pysyvät tietoisina ris- kienhallinnasta alusta asti.
Suunnitelman jälkeen on PMBOKin (2013) mukaan aika riskien tunnista- miselle. Tässä prosessissa määritellään kaikki riskit, joilla on mahdollisuus vai- kuttaa organisaation toimintaan tai projektin valmistumiseen. Tärkein vaihe riskien tunnistamisessa on riskien dokumentointi. Kunnolla tehty dokumen- tointi auttaa riskienhallinnan työryhmän ulkopuolellakin olevia organisaation työntekijöitä ymmärtämään riskien vakavuutta. Riskien tunnistamisen proses- sin on tarkoitus selvittää kaikki mahdolliset riskit, jotka vaikuttavat projektiin jollain tavalla. Tähän vaiheeseen palataan usein, sillä kaikkia riskejä ei pysty tunnistamaan kerralla. Kuten mainittu, riskienhallinta on kokonaisuutena itera- tiivinen prosessi. Dokumentoinnin aikana riskit tulee jollain tavalla saattaa sa- nalliseen muotoon. Dokumentoinnin tärkein virka on riskien tunnistamisen selkeyttäminen ja pohjan luominen jatkotoimenpiteille sekä riskien arvioinnille.
Riskien tunnistamiseen voivat osallistua organisaation työntekijät sekä sidos- ryhmät ja usein työryhmässä on esimiesten lisäksi avainhenkilöitä, jotka ovat erikoistuneet riskien tunnistamiseen. (PMBOK, 2013)
PMBOKin (2013) määritelmän mukaan tehty riskien tunnistaminen ja- kaantuu kolmeksi kokonaisuudeksi. Ne nimetään syötteeksi (input), työkaluiksi ja tekniikoiksi sekä tulosteeksi (output). PMBOKin (2013) mallin mukaiset syöt- teet ovat:
1. riskienhallinnan suunnitelma 2. kustannusten hallintasuunnitelma 3. aikataulun hallintasuunnitelma 4. laadunhallintasuunnitelma
5. henkilöstöresurssien hallintasuunnitelma
6. ulottuvuuden tai laajuuden hallintasuunnitelma 7. toimenpiteiden kustannusarvio
8. toimenpiteiden keston arviointi 9. sidosryhmistä luotu rekisteri
10. projektin (tässä tapauksessa organisaation) dokumentit 11.hankintoihin liittyvät dokumentit
12. organisaation ympäristötekijät
13. organisaation voimavarat (engl. assets).
Työkaluiksi ja menetelmiksi PMBOK (2013) määrittelee seuraavat kokonaisuu- det:
1. dokumenttien katselmointi 2. tiedonkeräysmenetelmät 3. tarkistusluettelojen analysointi 4. olettamuksien analysointi
5. kaavioiden luominen ja graafiset tekniikat 6. SWOT-analyysi
7. asiantuntijoiden arviot.
Kaikesta tästä työstä ja analysoinnista syntyy ihanteellisessa tilanteessa hyvin jäsennelty ja selkeä lopputuotos, johon PMBOK (2013) viittaa tulosteena. Ris- kien arviointia tehdessä tulee huomata se, että mikäli jokin PMBOKin määri- telmässä esitellyistä dokumenteista tai suunnitelmista on puutteellinen tai sitä ei ole, vaikeutuu riskien arviointiprosessi huomattavasti, koska lopputuotos perustuu puutteelliselle datalle. Vaikka tämä määritelmä on suunnattu erityi- sesti projektityöskentelyyn, on hyvä huomata, miten kokonaisuutena se on yleistettävissä koskemaan koko organisaation riskienhallintaa sekä kyberturval- lisuuden riskienhallintaa. (PMBOK, 2013)
Riskianalyysin ja riskien arvioinnin PMBOK (2013) jakaa kahteen osaan, kvalitatiiviseen sekä kvantitatiiviseen riskianalyysiin. Kvalitatiivisessa riskiana- lyysissa riskit priorisoidaan jatkokäsittelyä varten. Priorisoinnissa riskit laite- taan vakavuusjärjestykseen arvioimalla niiden todennäköisyyksiä sekä riskien vaikutuksia, jos ne toteutuvat. Kvantitatiivinen riskianalyysi taas tarkoittaa sitä, että riskit analysoidaan numeerisesti. Kvantitatiivisessa riskianalyysissa pyri- tään arvioimaan, miten tunnistetut riskit vaikuttavat projektin tai organisaation eri osa-alueisiin.
Kvalitatiivinen riskianalyysi tarkoittaa laadullista riskien analysointia (PMBOK, 2013). Siinä riskit priorisoidaan myöhempiä vaiheita varten ja keski- tytään riskien toteutumisen todennäköisyyteen sekä riskin toteutuessa tämän vaikutuksen voimakkuuteen ja laajuuteen. Tällöin riskien järjestäminen tärkeys- järjestykseen voidaan tehdä edellä mainituin kategorioin. Näiden mainittujen kategorioiden lisäksi riskit voidaan järjestää tärkeysjärjestykseen sen mukaan, miten hyväksyttävissä riskin toteutuminen on organisaation silmissä tai millai- sen reaktioajan riskin vastatoimenpiteet vaativat. Kvalitatiivisen riskianalyysin yhdeksi tärkeäksi työkaluksi PMBOK (2013) ehdottaa riskimatriisia (kuvio 3).
Riskimatriisissa on todennäköisyysasteikko sekä vaikutusasteikko ja näiden prioriteetti määritellään numeerisesti. Kuten useampaan otteeseen on todettu, riskejä tarkastellaan organisaation osa-alueittain useammasta eri näkökulmasta ja käsitellään todennäköisyyden sekä vaikutuksen mukaan. PMBOK (2013) käyttää riskimatriisissa kolmea eri värikoodia kuvastamaan riskin tasoa ja va- kavuutta. Nämä värit ovat korkea, keskitaso ja matala. Jokaisesta osa-alueesta luodaan oma matriisi liittyen samaan riskiin, organisaation osa-alueet voivat olla esimerkiksi lopputuotteen laatu, kehittämisen aikataulu tai kustannusra- kenne.
KUVIO 3 Riskimatriisi (PMBOK, 2013 mukaillen)
Kvantitatiivinen riskianalyysi on prosessi, jossa numeerisesti arvioidaan riskien vaikutusta. Kuten kvalitatiivisen analyysin, myös kvantitatiivisen ana- lyysin tarkoituksena on antaa työkaluja riskien määrän ja vaikutuksen mini- mointiin. Kvantitatiivinen riskianalyysi suoritetaan sellaisille riskeille, jotka on tunnistettu aikaisemmassa kvalitatiivisessa prosessissa. Mikäli dataa ei ole riit- tävästi saatavilla, kvantitatiivisen analyysin tekeminen ei ole mahdollista. Ris- kien priorisoinnissa hyödynnetään sekä aikaisempia dokumentteja, että kvalita- tiivisessa riskianalyysissä syntynyttä dataa. Kvantitatiivisen riskianalyysin tu- lokset esitetään graafisina kokonaisuuksina, kuten taulukoina tai kuvioina.
Kvantitatiivinen riskianalyysi pyörittelee numeerisia arvoja, kuten todennäköi- syysprosentteja, rahallisia arvoja sekä vaikutuksen voimakkuutta. Todennä- köisyysjakauma on yksi erittäin yleinen tapa esittää simulaatio todennäköi- syyksien jakautumista (kuvio 4). Tämä jakauma esittää epävarmuustekijöitä beetajakaumana tai kolmiojakaumana. Esimerkissä X-akselilla esitetään mah- dollista ajan tai kustannuksen arvoa ja Y-akselilla suhteellista todennäköisyyttä.
Nämä jakaumat ovat yleensä yhteensopivia kvalitatiivisessa riskianalyysissä tunnistettujen riskien kanssa. (PMBOK, 2013)
